CVE-2016-20087
Alvorlig

CVE-2016-20087: Fortitude HTTP sårbarhed forklaret

Fejl i Fortitude HTTP 1.0.4.0 giver lokale brugere mulighed for at køre skadelig kode med fulde systemrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 7 dage

Hvad er det?

Fortitude HTTP 1.0.4.0 har en sårbarhed kaldet ‘unquoted service path’ (en fejl i den måde, Windows-tjenesten er registreret på). Når stien til programmets opstartsfil ikke er sat i anførselstegn, kan Windows forveksle en ondsindet fil med den rigtige programfil. Det betyder, at en angriber kan placere en skadelig fil et bestemt sted på computeren, som Windows så kører automatisk næste gang tjenesten starter eller computeren genstartes — og det sker med de højeste systemrettigheder (SYSTEM-niveau).

Hvem rammer det?

Sårbarheden rammer virksomheder og brugere, der har installeret Fortitude HTTP version 1.0.4.0 på Windows-maskiner. Angrebet kræver, at angriberen allerede har adgang til computeren som en almindelig bruger (ikke administrator). Det er typisk relevant i miljøer, hvor flere medarbejdere deler computere, eller hvor en angriber allerede har fået fodfæste via eksempelvis phishing (lokkemails).

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Overtage fuld kontrol over den berørte computer med de højeste rettigheder
  • Installere malware (skadelige programmer), ransomware eller bagdøre
  • Stjæle følsomme data, adgangskoder og forretningshemmeligheder
  • Sprede angrebet videre til andre systemer på samme netværk
  • Slette eller kryptere filer, så de bliver utilgængelige

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan NIST. Angrebet kræver lokalt fodfæste på maskinen, men ingen administratorrettigheder og ingen handling fra en bruger. Det gør den relativt let at udnytte, når en angriber først er inde. Konsekvenserne er fulde: fortrolighed, integritet og tilgængelighed er alle i fare.

Hvad gør jeg nu?

Gør følgende så hurtigt som muligt, hvis du bruger Fortitude HTTP 1.0.4.0:

  1. Identificér berørte systemer: Tjek om Fortitude HTTP 1.0.4.0 er installeret på nogen af dine Windows-computere eller servere.
  2. Begræns brugeradgang: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ingen bør have skriverettigheder til systemets rodmappe (typisk C:) uden god grund.
  3. Søg efter en opdatering: Tjek producentens hjemmeside for en ny version af Fortitude HTTP, der retter fejlen.
  4. Overvej at afinstallere: Hvis softwaren ikke er forretningskritisk, og der ikke foreligger en patch, bør du overveje at afinstallere den midlertidigt.
  5. Kontakt din IT-leverandør: Bed din IT-partner om at verificere konfigurationen og evt. manuelt rette stien til tjenesten i Windows-registreringsdatabasen.
Tidsfrist

Handl inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du straks undersøger, om Fortitude HTTP 1.0.4.0 er installeret i din virksomhed. Da der ikke pt. kendes til en officiel patch, bør du midlertidigt begrænse adgangen til de berørte computere og sikre, at ingen uvedkommende har skriveadgang til systemets rodmappe. Kontakt din IT-leverandør for at få stien rettet manuelt eller softwaren erstattet.

Tidslinje

19/06/2026
CVE offentliggjort
Sårbarheden CVE-2016-20087 i Fortitude HTTP 1.0.4.0 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database).
19/06/2026
Sårbarhedstype identificeret
Fejlen klassificeres som CWE-428 (Unquoted Search Path or Element) — en velkendt Windows-fejltype, der giver lokale brugere mulighed for at udføre kode med forhøjede rettigheder.
19/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en officiel opdatering fra producenten af Fortitude HTTP. Brugere opfordres til at implementere midlertidige afhjælpende foranstaltninger.
19/06/2026
CVSS-score fastsat til 7.8
Sårbarheden er vurderet som 'Alvorlig' med en CVSS-score på 7.8, grundet fuld påvirkning af fortrolighed, integritet og tilgængelighed ved vellykket udnyttelse.

Konkrete eksempler

Medarbejder placerer skadelig fil på serveren

En utilfreds medarbejder med adgang til en Windows-server, hvor Fortitude HTTP er installeret, placerer en skadelig .exe-fil i C:Program.exe. Næste gang serveren genstartes, kører Windows fejlagtigt denne fil i stedet for det rigtige program — med fulde SYSTEM-rettigheder. Medarbejderen har nu skabt en bagdør til systemet uden at vække mistanke.

Angriber eskalerer rettigheder efter phishing

En medarbejder klikker på et ondsindet link i en e-mail og downloader et program, der giver angriberen adgang til computeren som en almindelig bruger. Angriberen opdager, at Fortitude HTTP er installeret med en ikke-angivet sti, og placerer en skadelig fil i det rigtige mappeforløb. Ved næste genstart af tjenesten kører den skadelige kode med SYSTEM-rettigheder, og angriberen overtager hele computeren.

Automatisk udnyttelse via script

En angriber, der allerede har begrænset adgang til netværket, kører et automatisk script, der scanner efter kendte ‘unquoted service path’-sårbarheder. Scriptet identificerer Fortitude HTTP på en maskine, indsætter en skadelig fil og venter på, at tjenesten genstartes — fx ved den næste planlagte Windows-opdatering. Angrebet sker uden yderligere brugerinteraktion og efterlader minimale spor.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Fortitude HTTP 1.0.4.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with elevated privileges by exploiting the service binary path. Attackers can insert malicious executables in the system root path that execute with SYSTEM privileges during service startup or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2016-20087
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.